ARP的防御是一个工程!本文仅就三层交换机的角度,谈谈有些什么样的手段这增强ARP的防护。

1、三层设备上防止他人冒充网关(未验证)

对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:

acl number 5000

rule 0 deny 0806 ffff 24 64010105 ffffffff 40

rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。

2、三层设备上防止冒充他人IP的arp攻击

作为网关的设备有可能会出现ARP错误表项,因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。

2.1 在S3928上配置静态ARP,可以防止该现象:(已验证)

arp static 221.231.140.247 000f-3d81-45b4 1007 e1/0/22

2.2 除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3928端口 E1/0/22上做如下操作:(已验证)

   am user-bind mac-addr 001e-0bc5-5f4c ip-addr 221.231.140.247

   am user-bind mac-addr 0021-5acc-fc28 ip-addr 221.231.140.253

   am user-bind mac-addr 001e-0bc5-615c ip-addr 221.231.140.246

则IP为221.231.140.247,并且MAC为001e-0bc5-5f4c的ARP报文可以通过E1/0/22端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。并且,要想让E1/0/22端口下所有机器都能上网,则必须有多少个就要加多少个记录。

唯一有一个问题没有解决的是,如果一个网卡上绑定了多IP地址的,好像不能加多条记录来搞定。这样推广起来就有很大的难度。

另外,操作的最小单元是一个交换机端口,一旦绑定一条记录,其它暂时还没有绑定的都会断掉,MyGod!所以要速度!

03-14 14:14